Боты 3Commas используют эти API-ключи для взаимодействия с криптобиржами без запроса учетных данных, чтобы автоматически инвестировать и торговать от имени пользователей. По словам хакера, стоящего за сливом, 10 000 ключей это только 10% от того, что попало ему в руки. Остальные ключи злоумышленник планирует выложить в ближайшие дни.
Специалисты 3Commas изучили слитые данные и подтвердили, что в них есть настоящие API-ключи. Компания призывает все биржи, включая Kucoin, Coinbase и Binance, отозвать все ключи, связанные с 3Commas. Пользователям рекомендуется самостоятельно перевыпустить свои ключи для всех связанных бирж и связаться со службой поддержки 3Commas для получения рекомендаций по дальнейшим действиям.
Компания уже провела внутреннее расследование, чтобы выяснить, не связан ли инцидент с работой инсайдера, но не нашла никаких доказательств этого.
“Лишь небольшое количество технических сотрудников имело доступ к инфраструктуре, и с 19 ноября мы предприняли меры, чтобы ограничить их доступ. С тех пор мы внедрили новые меры безопасности, и не планируем останавливаться на этом; мы начинаем полноценное расследование, к которому будут привлечены правоохранительные органы”, – пишет компания в своем заявлении.
Стоит отметить, что первые сообщения о несанкционированных транзакциях, проведенных через 3Commas, поступали еще с октября этого года, а в последние недели достигли своего пика. Согласно заявлениям пользователей платформы, в ноябре они потеряли криптовалюту на сумму около 6 000 000 долларовпосле утечки их учетных данных из систем 3Commas.
Все это время представители компании отрицали возможность взлома и предполагали, что пользователи стали жертвами фишинговых атак или троянизированных приложений. Однако после непрекращающегося потока сообщений о несанкционированных транзакциях с использованием API-ключей, у компании лопнуло терпении и она выкатила отчет о проведенном расследовании, в котором утверждалось, что специалистам не удалось обнаружить никаких доказательств компрометации систем 3Commas. В отдельной публикации компания назвала ложными сообщения о том, что сотрудники крадут API-ключи пользователей и переводят себе их криптоактивы.